一种基于SDN架构的流量监管算法的制作方法

本发明属于涉及网络通信技术领域，特别是涉及网络通信流量监管技术领域，具体为 一种基于 SDN 架构的流量监管算法。

背景技术：

网络安全一直是网络领域的一个热点问题，在网络中无时不刻不充斥着网络攻击。流量监管可以有效地防止由于网络中瞬间的大量数据对网络带来的冲击，保证用户网络高效而稳定的运行。

在传统网络中往往会对网络流量进行监管，不过往往采用高昂价格的监测设备，功能单一且不具备高扩展性，难以适应灵活多变的网络攻击，在设备之余对安全分析工作人员带来了更多的要求，他们除需要具备相应的安全知识储备外还需要掌握各类设备的使用方法，更换不同设备又将增加学习成本。另外这类监测设备各自遵循不同的技术标准，难以进行更为便捷的自定义设置，大大的缩减了设备的灵活性和扩展性。

传统的流量监管报文会被标记成三种颜色：绿色、黄色和红色。对于绿色报文进行流量统计和对黄色报文可以采取的动作为报文优先级重标记；对于红色报文可以采取的动作为丢弃。流量统计支持基于字节统计或者基于报文数统计，方便查看监管情况。优先级重标记是根据报文的原始优先级查找重标记优先级映射表，获取新的报文优先级。但是，传统的流量监管的配置是分布式的，基于每台转发设备，对管理员的要求较高。

SDN（Software Defined Networking 软件定义网络）是一种新型网络技术架构。有别于传统的网络架构，其将网络的控制层面和数据层面分离。在数据层面，功能更加趋于简单，可按照控制层面的策略进行转发。SDN（Software Defined Networking 软件定义网络）控制层面一般由控制器担任，由交换机实现数据层面功能。SDN（Software Defined Networking 软件定义网络）灵活、可靠、安全，这些特性满足互联网对可扩展性、安全、兼容性的需求。软件定义网络控制层面和数据层面分离的策略对通信网络的扩展和升级十分有利。

本发明专利基于SDN架构对流量进行监管，典型应用是SDN控制器监督进入网络的某一流量的规格，把它限制在一个合理的范围之内，或对超出的部分流量进行“惩罚”，以保护网络资源和运营商的利益。例如可以限制HTTP报文不能占用超过50%的网络带宽。如果发现某个连接的流量超标，流量监管可以选择丢弃报文，或重新设置报文的优先级。本发明专利基于SDN架构的流量监管过程由SDN控制器统一计算，集中管理；所有的流量监管配置都集中在SDN控制器，便于管理和后期运营。

技术实现要素：

针对上述现有技术的缺点或不足，本发明要解决的技术问题是提供一种流量监管过程由SDN控制器统一控制的基于SDN架构的流量监管算法。

为解决上述技术问题，本发明具有如下构成：

一种基于SDN架构的流量监管算法，该方法包括：S101：用户在SDN控制器上，配置流量监管策略；S102：SDN控制器从SDN交换机接收报文，解析目的IP和源IP；S103：SDN控制器从SDN交换机接收私有扩展Experimenter报文，解析Experimenter报文；S104：SDN交换机侦测流量的速率，根据侦测结果上报SDN控制器。

所述SDN控制器支持基于SDN的流量监管配置任务，该配置任务包括流量监管表以及基于SDN的流量监管功能；所述流量监管表包括用户指定的流量特征、阈值以及所述SDN交换机上报的监管状态；所述基于SDN的流量监管功能，用于打开或关闭所述基于SDN的流量监管功能。

还包括私有的流量监管表，所述私有的流量监管表由用户静态配置或动态创建，且静态条目的优先级高于动态条目；所述私有的流量监管表包括目的IP、源IP、绿色阈值、黄色阈值以及监管状态；所述目的IP和源IP用于指定流量；将流量速率分别于绿色阈值以及黄色阈值进行比较，所述SDN交换机进行流量统计后上报SDN控制器；所述监管状态表示所述SDN交换机上报报文被标记的颜色。

所述SDN控制器从SDN交换机接收私有扩展Experimenter报文的格式为，所述Experimenter值为1表明是从SDN交换机方向到SDN控制器，所述Experimenter值为255；所述私有扩展Experimenter报文由转发路径上的SDN交换机上报给SDN控制器；所述目的IP和源IP唯一确定一条流；所述监管状态表明流量被标记何种颜色。

所述步骤S101具体为：SDN交换机上报未匹配流表的报文；SDN控制器基于流量监管策略和转发路径下发流表；SDN交换机上报流量监管结果。

根据目的IP和源IP查询流量监管表，如果命中，从匹配条目中获得阈值和优先级别；然后获取报文转发路径，根据匹配条目向转发路径上所有SDN交换机下发流表；根据目的IP和源IP查询流量监管表，如果没有命中，动态生成新的监管条目；最后获取报文转发路径，根据匹配条目向转发路径上所有SDN交换机下发流表；如果没有命中，所述SDN控制器动态生成新的监管条目，阈值取缺省值，优先级别取自报文，不做改变。

所述步骤S103中，根据所述SDN控制器解析的Experimenter报文，更新流量监管表的监管状态。

如果SDN交换机的侦测速率≤绿色阈值，则该流量被标记成绿色，所述SDN交换机进行流量统计后上报控制器；所述流量统计包括字节数和报文数统计；如果SDN交换机的侦测速率＞绿色阈值，且该侦测速率≤黄色阈值，则该流量被标记成黄色，所述SDN交换机进行优先级重标记，并上报SDN控制器；所述优先级重新标记的处理方式为降优先级处理；如果SDN交换机的侦测速率>黄色阈值，则该流量被标记成红色，并上报SDN控制器。

当所述流量被标记成红色时，所述SDN交换机将进行丢包处理。

所述SDN控制器和SDN交换机均支持扩充流表；所述扩充流表的Match字段包括源IP和目的IP；所述扩充流表的动作字段为侦测流量的速率。

所述扩充流表具体为：当侦测速率≤绿色阈值时，则该流量被标记成绿色，所述SDN交换机进行流量统计后上报控制器；当侦测速率≤黄色阈值时，则该流量被标记成黄色，所述SDN交换机进行优先级重标记，并上报SDN控制器；当侦测速率>黄色阈值，则该流量被标记成红色，所述SDN交换机进行丢包，并上报SDN控制器。

与现有技术相比，本发明基于SDN架构的流量监管过程由SDN控制器统一计算，集中管理，所有的流量监管配置都集中在SDN控制器，便于管理和后期运营；SDN控制器监管进入网络的某一流量的规格，把它限制在一个合理的范围之内，或对超出的部分流量进行“惩罚”，以保护网络资源和运营商的利益。

附图说明

图1：本发明基于SDN构架的流量监管算法示意图；

图2：本发明基于SDN构架的流量监管流程图；

图3：本发明中SDN控制器对用户报文处理的流程图；

图4：本发明中SDN控制器对Experimenter报文处理的流程图；

图5：本发明中SDN交换机的处理流程图；

图6：本发明中实施例的测试环境示意图。

具体实施方式

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

如图1所示，本发明基于SDN架构的流量监管算法，该方法以下步骤：S101：用户在SDN控制器上，配置流量监管策略；S102：SDN控制器从SDN交换机接收报文，解析目的IP和源IP；S103：SDN控制器从SDN交换机接收私有扩展Experimenter报文，解析Experimenter报文；S104：SDN交换机侦测流量的速率，根据侦测结果上报SDN控制器。本发明基于SDN架构的流量监管过程由SDN控制器统一计算，集中管理，所有的流量监管配置都集中在SDN控制器，便于管理和运维。

以下将具体阐述不同步骤的具体监管算法：

步骤S101，见图2：用户在SDN控制器上，配置流量监管策略。

具体为，所述SDN交换机上报未匹配流表的报文；SDN控制器基于流量监管策略和转发路径下发流表；SDN交换机上报流量监管结果。

所述SDN控制器支持基于SDN的流量监管配置任务，该配置任务包括流量监管表以及基于SDN的流量监管功能。所述流量监管表包括用户指定的流量特征、阈值以及所述SDN交换机上报的监管状态。所述基于SDN的流量监管功能，用于打开或关闭所述基于SDN的流量监管功能。

步骤S102，见图3：所述SDN控制器从SDN交换机接收报文，解析目的IP和源IP。

根据目的IP和源IP查询私有的流量监管表，如果命中，从匹配条目中获得阈值和优先级别；然后获取报文转发路径，根据匹配条目向转发路径上所有SDN交换机下发流表。

根据目的IP和源IP查询私有的流量监管表，如果没有命中，所述SDN控制器动态生成新的监管条目，阈值取缺省值，优先级别取自报文，不做改变。最后获取报文转发路径，根据匹配条目向转发路径上所有SDN交换机下发流表。

所述私有的流量监管表由用户静态配置或动态创建，且静态条目的优先级高于动态条目。

所述私有的流量监管表包括目的IP、源IP、绿色阈值、黄色阈值以及监管状态；所述目的IP和源IP用于指定流量；将流量速率分别于绿色阈值以及黄色阈值进行比较，所述SDN交换机进行流量统计后上报SDN控制器；所述监管状态表示所述SDN交换机上报报文被标记的颜色。

步骤S103，见图4：SDN控制器从SDN交换机接收私有扩展Experimenter报文，解析Experimenter报文，然后更新流量监管表的监管状态。

所述SDN控制器从SDN交换机接收私有扩展Experimenter报文的格式为，所述Experimenter值为1表明是从SDN交换机方向到SDN控制器，所述Experimenter值为255；所述私有扩展Experimenter报文由转发路径上的SDN交换机上报给SDN控制器；所述目的IP和源IP唯一确定一条流；所述监管状态表明流量被标记何种颜色（见下文描述）。

所述监管状态通常表明流量被标注成三种颜色：绿色、黄色和红色，当流量被标注成绿色时，所述SDN交换机进行流量统计后上报控制器；当流量被标记成黄色，所述SDN交换机进行优先级重标记，并上报SDN控制器；当流量被标记成红色，所述SDN交换机将进行丢包处理，并上报SDN控制器。

步骤S104，见图5：SDN交换机侦测流量的速率，根据侦测结果上报SDN控制器。

具体为，如果SDN交换机的侦测速率≤绿色阈值，则该流量被标记成绿色，所述SDN交换机进行流量统计后上报控制器。所述流量统计包括字节数和报文数统计。

如果SDN交换机的侦测速率＞绿色阈值，且该侦测速率≤黄色阈值，则该流量被标记成黄色，所述SDN交换机进行优先级重标记，并上报SDN控制器。所述优先级重新标记的处理方式为降优先级处理。

如果SDN交换机的侦测速率>黄色阈值，则该流量被标记成红色，所述SDN交换机将进行丢包处理，并上报SDN控制器。

通过上述不同阈值的设置，所述SDN控制器监管进入网络的某一流量的规格，把它限制在一个合理的范围之内，或对超出的部分流量进行“惩罚”，以保护网络资源和运营商的利益。

作为进一步的改进，所述SDN控制器和SDN交换机均支持扩充流表。所述扩充流表的Match字段包括源IP和目的IP。所述扩充流表的动作字段为侦测流量的速率。

所述扩充流表具体描述为：当侦测速率≤绿色阈值时，则该流量被标记成绿色，所述SDN交换机进行流量统计（应支持字节数和报文数统计）后上报控制器；当侦测速率≤黄色阈值时，则该流量被标记成黄色，所述SDN交换机进行优先级重标记（降优先级），并上报SDN控制器；当侦测速率>黄色阈值，则该流量被标记成红色，所述SDN交换机进行丢包，并上报SDN控制器。

以下将结合具体测试环境对本发明基于SDN的流量监管算法进行具体阐述。

首先，按照图6所示，搭建测试环境，用户在SDN控制器上，配置流量监管策略。

所述SDN控制器支持基于SDN的流量监管配置任务，该配置任务包括流量监管表以及基于SDN的流量监管功能。所述流量监管表包括用户指定的流量特征、阈值以及所述SDN交换机上报的监管状态。所述基于SDN的流量监管功能，用于打开或关闭所述基于SDN的流量监管功能。

另外，所述SDN控制器和SDN交换机均支持扩充流表。所述扩充流表包括Match字段和动作字段，所述Match字段包括源IP和目的IP，所述扩充流表的动作字段为侦测流量的速率。

所述扩充流表具体描述为：当侦测速率≤绿色阈值时，则该流量被标记成绿色，所述SDN交换机进行流量统计（应支持字节数和报文数统计）后上报控制器；当侦测速率≤黄色阈值时，则该流量被标记成黄色，所述SDN交换机进行优先级重标记（降优先级），并上报SDN控制器；当侦测速率>黄色阈值，则该流量被标记成红色，所述SDN交换机进行丢包，并上报SDN控制器。

该测试环境中，所述绿色阈值为100 PPS，所述黄色阈值为200 PPS，新优先级别为1。所述客户端C到服务器的流量为50 PPS，客户端A到服务器的流量为120 PPS，客户端B到服务器的流量为220 PPS。

然后， 所述SDN控制器从SDN交换机接收报文，解析目的IP和源IP，该过程要遵循私有的流量监管表。所述私有的流量监管表包括目的IP、源IP、绿色阈值、黄色阈值以及监管状态。

所述目的IP和源IP用于指定流量；将流量速率分别于绿色阈值以及黄色阈值进行比较，所述SDN交换机进行流量统计后上报SDN控制器；所述监管状态表示所述SDN交换机上报报文被标记的颜色。

该测试环境中流量速率的具体比对结果为，所述客户端C到服务器的流量为50 PPS，该数值小于绿色阈值100 PPS。

所述客户端A到服务器的流量为120 PPS，该数值大于绿色阈值且小于黄色阈值200 PPS。

客户端B到服务器的流量为220 PPS，该数值大于黄色阈值200 PPS。

再然后，所述SDN控制器从SDN交换机接收私有扩展Experimenter报文，解析Experimenter报文。

所述SDN控制器从SDN交换机接收私有扩展Experimenter报文的格式为，所述Experimenter值为1表明是从SDN交换机方向到SDN控制器，所述Experimenter值为255需要向ONF组织申请；所述私有扩展Experimenter报文由转发路径上的SDN交换机上报给SDN控制器；所述目的IP和源IP唯一确定一条流；所述监管状态表明流被标记何种颜色，所述监管状态通常表明流量被标注成绿色、黄色和红色三种颜色。

由上述步骤可知：

所述客户端C到服务器的流量被标注成绿色。

所述客户端A到服务器的流量被标记成黄色。

客户端B到服务器的流量被标记成红色。

最后，SDN交换机侦测流量的速率，根据侦测结果上报SDN控制器。

具体分析过程为，如果SDN交换机的侦测速率≤绿色阈值，则该流量被标记成绿色，所述SDN交换机进行流量统计后上报SDN控制器。所述流量统计包括字节数和报文数统计。

如果SDN交换机的侦测速率＞绿色阈值，且该侦测速率≤黄色阈值，则该流量被标记成黄色，所述SDN交换机进行优先级重标记，并上报SDN控制器。所述优先级重新标记的处理方式为降优先级处理。

如果SDN交换机的侦测速率>黄色阈值，则该流量被标记成红色，所述SDN交换机将进行丢包处理，并上报SDN控制器。

根据以上分析，所述客户端C到服务器的流量50 PPS＜绿色阈值100 PPS，该流量被标注成绿色，所述SDN交换机进行流量统计（应支持字节数和报文数统计）后，上报SDN控制器。

所述客户端A到服务器的流量120 PPS＞绿色阈值100 PPS，且＜黄色阈值200 PPS，则该流量被标记成黄色，所述SDN交换机进行优先级重标记，即，所述客户端A到服务器的流量的优先级被修改为1（1的优先级别最低），并上报SDN控制器。

客户端B到服务器的流量220 PPS大于黄色阈值200 PPS，则该流量被标记成红色，直接被S0丢弃，并上报SDN控制器。

通过上述不同阈值的设置，所述SDN控制器监管进入网络的某一流量的规格，把它限制在一个合理的范围之内，即对客户端A、客户端B以及客户端C的流量进行监管，并对超出的部分流量进行“惩罚”，即直接丢弃客户端B的流量数据以及对客户端A的流量数据进行降级处理，最终以保护网络资源和运营商的利益。

本发明基于SDN架构的流量监管过程由SDN控制器统一计算，集中管理，所有的流量监管配置都集中在SDN控制器，便于管理和后期运营，其监管效果明显优于传统的工作模式，控制更加便捷高效，其市场应用前景非常广阔。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的单元或流程并不一定是实施本发明所必须的。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

以上实施例仅用以说明本发明的技术方案而非限定，仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围。